[go: up one dir, main page]

JP2021530071A - Data stream identity - Google Patents

Data stream identity Download PDF

Info

Publication number
JP2021530071A
JP2021530071A JP2021522928A JP2021522928A JP2021530071A JP 2021530071 A JP2021530071 A JP 2021530071A JP 2021522928 A JP2021522928 A JP 2021522928A JP 2021522928 A JP2021522928 A JP 2021522928A JP 2021530071 A JP2021530071 A JP 2021530071A
Authority
JP
Japan
Prior art keywords
identified
owner
data stream
unique identifier
memory
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2021522928A
Other languages
Japanese (ja)
Inventor
コッフィング、ナタナエル
Original Assignee
クラウデンティティー インコーポレーテッド
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by クラウデンティティー インコーポレーテッド filed Critical クラウデンティティー インコーポレーテッド
Publication of JP2021530071A publication Critical patent/JP2021530071A/en
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • H04L9/0847Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving identity based encryption [IBE] schemes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/061Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/006Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols involving public key infrastructure [PKI] trust models
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/083Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
    • H04L9/0833Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP] involving conference or group key
    • H04L9/0836Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP] involving conference or group key using tree structure or hierarchical structure
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3265Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate chains, trees or paths; Hierarchical trust model
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Storage Device Security (AREA)
  • Two-Way Televisions, Distribution Of Moving Picture Or The Like (AREA)

Abstract

【解決手段】データストリームアイデンティティを管理する方法およびシステムを提供する。データストリームに関する所有権情報を分析して少なくとも一人の所有者を識別する。データストリームをフィルタリングして識別された所有者に関連付けられた少なくとも一つの部分を識別する。識別された部分に一意の識別子を割り当てる。割り当てられた識別子と識別された所有者に関する情報とに関連付けて識別された部分をメモリに格納する。識別された所有者によって設定されたセッティングに基づいて識別された部分へのアクセスを制御する。【選択図】図1SOLUTION: A method and a system for managing a data stream identity are provided. Analyze ownership information about the data stream to identify at least one owner. Filter the data stream to identify at least one part associated with the identified owner. Assign a unique identifier to the identified part. Stores the identified part in memory in association with the assigned identifier and information about the identified owner. Control access to identified parts based on the settings set by the identified owner. [Selection diagram] Fig. 1

Description

関連する出願への相互参照
本特許出願は、2018年6月29日に出願された米国仮特許出願番号62/692,371の優先権を主張し、その開示は参照により本明細書に組み込まれる。 Cross-reference to related applications This patent application claims priority to US Provisional Patent Application No. 62 / 692,371 filed June 29, 2018, the disclosure of which is incorporated herein by reference. ..

本発明は、一般にデータストリーム管理に関する。より具体的には、本発明は、データストリームに割り当てられたアイデンティティの管理に関する。 The present invention generally relates to data stream management. More specifically, the present invention relates to the management of identities assigned to data streams.

複数の異なるエンティティが、データストリームのコンテンツに関して異なるキャパシティで関与してもよい。たとえば、異なるエンティティが、データの生成、データの他の貢献、データの分析、データの配布、データの消費などに関与してもよい。したがって、各エンティティは、データストリームの異なる部分に関連付けられているだけでなく、そのような部分に対する異なる権利をもつことができる。各エンティティは、そのようなエンティティがそれぞれの部分に適用することを望む異なるポリシーおよび要件に関連付けられてもよい。 Multiple different entities may be involved with different capacities with respect to the content of the data stream. For example, different entities may be involved in data generation, other contributions of data, analysis of data, distribution of data, consumption of data, and so on. Thus, each entity can not only be associated with different parts of the data stream, but also have different rights to such parts. Each entity may be associated with different policies and requirements that such entities wish to apply to their respective parts.

たとえば、ビデオストリームは、ビデオをキャプチャしたカメラに関連付けられたエンティティ、ビデオに適用された処理ソフトウェア(たとえば、顔認識)に関連付けられたエンティティ、ビデオ内の画像に表示されるか関連付けられたエンティティ、ビデオの配布者、およびビデオの消費者または他の受信者に関与してもよい。 For example, a video stream is an entity associated with the camera that captured the video, an entity associated with processing software applied to the video (eg, face recognition), an entity that appears or is associated with an image in the video, It may involve video distributors and video consumers or other recipients.

しかしながら、現在のところ、データストリームをそのような粒度で複数のエンティティのエンティティ固有のデータに関連付ける(またはその中の特定のセグメントを定義する)方法はない。たとえば、ビデオの特定のセグメントが異なるエンティティに関連付けられてもよく、そのようなセグメントは異なる範囲で重複してもよい。現在知られているシステムは、複数の異なるエンティティに対して単一のデータストリーム内でエンティティ固有のセグメントを定義したり、そのようなセグメントをそれぞれのエンティティに関連付けたり、複数の異なる認証要件を同じデータストリームの異なるセグメント(一部は異なる範囲で重複してもよい)に適用することはできない。 However, there is currently no way to associate (or define a particular segment within) a data stream with entity-specific data for multiple entities at such a granularity. For example, certain segments of video may be associated with different entities, and such segments may overlap to different extents. Currently known systems define entity-specific segments for different entities within a single data stream, associate such segments with each entity, and have the same multiple different authentication requirements. It cannot be applied to different segments of the data stream (some may overlap to different extents).

したがって、当技術分野では、データストリームに関連付けられたアイデンティティを割り当て、識別し、および管理するシステムおよび方法が必要とされている。 Therefore, there is a need for systems and methods in the art to assign, identify, and manage identities associated with data streams.

本発明の実施の形態は、データセットが、ライフサイクルおよびアクセス制御の管理のための個々の要件が添付された独自のアイデンティティをとることを可能にする。特に、個々のデータセットは一意の識別子に関連付けられてもよい。データストリームは、たとえば、データセットの一部であってもよい複数のデータセグメントに分割されてもよい。そのようなデータセットは、必ずしも連続しているとは限らない。たとえば、個人が表示されてから消え、さまざまな時点でビデオに再表示される場合がある。そのような個人はさらに、各画像フレームのごく一部にのみ現れることもある。したがって、その個人は、彼または彼女が異なる時点で現れるそれぞれの部分を含むデータセットに関連付けられてもよい。 Embodiments of the invention allow datasets to take on a unique identity with individual requirements for managing lifecycles and access control. In particular, individual datasets may be associated with unique identifiers. The data stream may be divided into multiple data segments, which may be part of a dataset, for example. Such datasets are not always contiguous. For example, an individual may appear and then disappear and reappear in the video at various times. Such individuals may also appear in only a small portion of each image frame. Therefore, the individual may be associated with a dataset containing each part in which he or she appears at different times.

様々な実施の形態は、データストリームアイデンティティを管理するための方法を含んでもよい。そのような方法は、データストリームに関する所有権情報を分析して少なくとも一人の所有者を識別するステップと、前記データストリームをフィルタリングして前記識別された所有者に関連付けられた少なくとも一つの部分を識別するステップと、前記識別された部分に一意の識別子を割り当てるステップと、前記割り当てられた識別子と前記識別された所有者に関する情報とに関連付けて前記識別された部分をメモリに格納するステップと、前記識別された所有者によって設定されたセッティングに基づいて前記識別された部分へのアクセスを制御するステップとを含んでもよい。 Various embodiments may include methods for managing data stream identities. Such a method analyzes the ownership information about the data stream to identify at least one owner and filters the data stream to identify at least one part associated with the identified owner. A step of assigning a unique identifier to the identified portion, a step of storing the identified portion in memory in association with the assigned identifier and information about the identified owner, and the above-mentioned step. It may include a step of controlling access to the identified portion based on the settings set by the identified owner.

さらなる実施の形態は、データストリームアイデンティティを管理するシステムを含んでもよい。そのようなシステムは、通信ネットワークを介してデータストリームを受信する通信インタフェースと、データストリームに関する所有権情報を分析して少なくとも一人の所有者を識別し、前記データストリームをフィルタリングして前記識別された所有者に関連付けられた少なくとも一つの部分を識別し、前記識別された部分に一意の識別子を割り当てるための命令を実行するプロセッサとを含んでもよい。システムはさらに、前記割り当てられた識別子と前記識別された所有者に関する情報とに関連付けて前記識別された部分を格納するメモリとを含んでもよい。前記プロセッサは、前記識別された所有者によって設定されたセッティングに基づいて前記識別された部分へのアクセスを制御してもよい。 Further embodiments may include a system for managing data stream identities. Such a system analyzes the communication interface that receives the data stream over the communication network and the ownership information about the data stream to identify at least one owner, and filters the data stream to identify it. It may include a processor that identifies at least one part associated with the owner and executes an instruction to assign a unique identifier to the identified part. The system may further include a memory that stores the identified portion in association with the assigned identifier and information about the identified owner. The processor may control access to the identified portion based on the settings set by the identified owner.

さらに別の実施の形態は、本明細書に記載の方法を実行するために実行可能なプログラムをその上に具体化した非一時的なコンピュータ可読記憶媒体を含んでもよい。 Yet another embodiment may include a non-temporary computer-readable storage medium on which an executable program for performing the methods described herein is embodied.

データストリームアイデンティティを管理するためのシステムが実装される単純化されたネットワーク環境を示す図である。FIG. 5 illustrates a simplified network environment in which a system for managing data stream identities is implemented.

データストリームアイデンティティを管理するための例示的な方法を示すフローチャートである。It is a flowchart which shows an exemplary method for managing a data stream identity.

本発明の実施の形態を実施するために使用される例示的なコンピューティングシステムを示す図である。It is a figure which shows the exemplary computing system used for carrying out the Embodiment of this invention.

本発明の実施の形態は、データセットが、ライフサイクルおよびアクセス制御の管理のための個々の要件が添付された独自のアイデンティティをとることを可能にする。特に、個々のデータセットは一意の識別子に関連付けられてもよい。データストリームは、たとえば、データセットの一部であってもよい複数のデータセグメントに分割されてもよい。そのようなデータセットは、必ずしも連続しているとは限らない。たとえば、個人が表示されてから消え、さまざまな時点でビデオに再表示される場合がある。そのような個人はさらに、各画像フレームのごく一部にのみ現れることもある。したがって、その個人は、彼または彼女が異なる時点で現れるそれぞれの部分を含むデータセットに関連付けられてもよい。 Embodiments of the invention allow datasets to take on a unique identity with individual requirements for managing lifecycles and access control. In particular, individual datasets may be associated with unique identifiers. The data stream may be divided into multiple data segments, which may be part of a dataset, for example. Such datasets are not always contiguous. For example, an individual may appear and then disappear and reappear in the video at various times. Such individuals may also appear in only a small portion of each image frame. Therefore, the individual may be associated with a dataset containing each part in which he or she appears at different times.

図1は、データストリームアイデンティティを管理するためのシステムが実装される例示的なネットワーク環境を示す。図示されるように、例示的なネットワーク環境100は、エンティティA 120A(例:個人ユーザーデバイス)、エンティティB 120B(例:個人ユーザ)、エンティティC 120C(例:モノのインターネット(IoT)デバイス)、およびエンティティD 120D(例:サービス/サーバシステム)を含む様々な異なるエンティティを含んでもよい。そのようなエンティティ120A〜Dは、1つまたは複数の異なるタイプの通信ネットワーク110を介して、1つまたは複数のアイデンティティサーバA130AおよびB130Bと通信することができる。 FIG. 1 shows an exemplary network environment in which a system for managing data stream identities is implemented. As illustrated, exemplary network environments 100 include entity A 120A (eg, personal user device), entity B 120B (eg, personal user), entity C 120C (eg, Internet of Things (IoT) device). And various different entities may be included, including entity D 120D (eg, service / server system). Such entities 120A-D can communicate with one or more identity servers A130A and B130B via one or more different types of communication networks 110.

通信ネットワーク110は、ローカルの専有ネットワーク(例えば、イントラネット)であってもよく、および/またはより大きな広域ネットワークの一部であってもよい。通信ネットワーク110は、ローカルエリアネットワーク(LAN)であってもよく、これは、インターネットなどのワイドエリアネットワーク(WAN)に通信可能に結合されてもよい。インターネットは、相互接続されたコンピュータとサーバの幅広いネットワークであり、ネットワークサービスプロバイダを介して接続されたユーザ間でインターネットプロトコル(IP)データの送信と交換を可能にする。ネットワークサービスプロバイダの例は、公衆交換電話網、携帯電話またはモバイルサービスプロバイダ、ケーブルサービスプロバイダ、デジタル加入者線(DSL)サービスのプロバイダ、または衛星サービスプロバイダである。通信ネットワーク110は、ネットワーク環境100の様々な構成要素間の通信を可能にする。 The communication network 110 may be a local proprietary network (eg, an intranet) and / or part of a larger wide area network. The communication network 110 may be a local area network (LAN), which may be communicably coupled to a wide area network (WAN) such as the Internet. The Internet is a broad network of interconnected computers and servers that allow the transmission and exchange of Internet Protocol (IP) data between users connected through network service providers. Examples of network service providers are public switched telephone networks, mobile phones or mobile service providers, cable service providers, digital subscriber line (DSL) service providers, or satellite service providers. The communication network 110 enables communication between various components of the network environment 100.

場合によっては、エンティティ120A〜Dは、APIゲートウェイ(図示せず)を経由して通信ネットワーク110を介してアイデンティティサーバ130と通信することができる。そのようなAPIゲートウェイは、サービスメッシュへのエンティティ120のエントリポイントとして機能することができる。APIゲートウェイは、識別と認証のために公開エンドポイントを公開するだけでなく、データストリームにコンテキストデータを挿入することもできる(一例として、(たとえば、セキュリティプレーンにおける内部証明機関によって)APIゲートウェイ専用に発行された秘密鍵を使用して署名されたプロキシリクエストへのトークンを介して)。APIゲートウェイは、アイデンティティサーバ130で作成できる豊富なポリシーを適用することができる(たとえば、ユーザ属性、役割、関係、セッション属性、現在の場所、デバイス情報、使用される認証方法、トランザクションユーザまたはデバイスのリスク要因などの要因に基づいて)。 In some cases, entities 120A-D can communicate with the identity server 130 via the communication network 110 via the API gateway (not shown). Such an API gateway can serve as an entry point for entity 120 into the service mesh. The API gateway not only exposes the public endpoint for identification and authentication, but can also insert contextual data into the data stream (for example, by an internal proxy in the security plane) exclusively for the API gateway. Through a token to a proxy request signed with the issued private key). The API gateway can apply a wealth of policies that can be created on the identity server 130 (eg, user attributes, roles, relationships, session attributes, current location, device information, authentication method used, transactional user or device. Based on factors such as risk factors).

エンティティ120A〜Dは、汎用コンピュータ、携帯電話、スマートフォン、スマートウォッチ、ウェアラブルデバイス、パーソナルデジタルアシスタント(PDA)、ポータブルコンピューティングデバイス(例えば、ラップトップ、ネットブック、タブレット)、デスクトップコンピューティングデバイス、ハンドヘルドコンピューティングデバイス、スマートセンサ、スマートアプライアンス、IoTデバイス、スマートコントロール用のコントローラにネットワーク接続されたデバイス、サーバとサーバシステム(クラウドベースのサーバとサーバシステムを含む)、または通信ネットワーク110を介して通信することができる他の種類のコンピューティングデバイスのような任意の数の異なる電子デバイスで具体化されてもよい。エンティティ120A〜Dに関連するそのようなデバイスはまた、ダウンロードされたサービスの場合に適切であるように、ローカルキャッシュ、メモリカード、またはディスクドライブなどの他の記憶媒体からのデータにアクセスするように構成されてもよい。エンティティ120A〜Dに関連するデバイスは、ネットワークおよびメディアインタフェース、非一時的なコンピュータ可読ストレージ(メモリ)、およびメモリに格納される命令を実行するためのプロセッサなどの標準的なハードウェアコンピューティングコンポーネントを含んでもよい。 Entities 120A-D include general purpose computers, mobile phones, smartphones, smart watches, wearable devices, personal digital assistants (PDAs), portable computing devices (eg laptops, netbooks, tablets), desktop computing devices, handheld computing. Communicating via a computing device, smart sensor, smart appliance, IoT device, device networked to a controller for smart control, server and server system (including cloud-based server and server system), or communication network 110. It may be embodied in any number of different electronic devices, such as other types of computing devices that can. Such devices associated with entities 120A-D should also access data from other storage media such as local caches, memory cards, or disk drives, as appropriate for downloaded services. It may be configured. Devices associated with entities 120A-D include standard hardware computing components such as network and media interfaces, non-temporary computer-readable storage (memory), and processors for executing instructions stored in memory. It may be included.

アイデンティティ(識別)サーバ130は、データストリームアイデンティティを管理するためのプラットフォームを提供してもよい。アイデンティティサーバ130は、クラウドまたはオンプレミスにインストール可能であってもよい。そのようなアイデンティティサーバ130はまた、デジタル証明書、セキュリティキー、および他の暗号化データの読み取り、生成、割り当て、および管理を可能にする公開鍵インフラストラクチャ(PKI)を含んでもよい。したがって、アイデンティティサーバ130は、各エンティティ120をエンティティ固有の識別、デジタル署名、および/または暗号化を可能にする識別データのセットに一意に関連付けてもよい。エンティティ固有のアイデンティティ(識別)情報は、1つまたは複数のアイデンティティサーバ130、および他のアイデンティティプロバイダ(例えば、Facebook(登録商標)、OAuth OpenID、生体認証署名)によって生成されてもよい。 Identity server 130 may provide a platform for managing data stream identities. The identity server 130 may be installable in the cloud or on-premises. Such an identity server 130 may also include a public key infrastructure (PKI) that enables the reading, generation, allocation, and management of digital certificates, security keys, and other encrypted data. Therefore, the identity server 130 may uniquely associate each entity 120 with a set of identification data that allows entity-specific identification, digital signatures, and / or encryption. Entity-specific identity information may be generated by one or more identity servers 130 and other identity providers (eg, Facebook®, OAuthOpenID, biometric signature).

アイデンティティサーバ130は、識別された特定のエンティティ120のそれぞれに固有の秘密鍵(例えば、PKIベースの鍵)を生成することができ、これにより、エンティティ120が識別され、エンティティ120がストリーム内の関連するデータ部分またはセグメントを管理できるようにする。場合によっては、アイデンティティサーバ130は、登録時にエンティティ120に秘密鍵を発行してもよい。そうでなければ、アイデンティティサーバ130は、登録されていない新しいエンティティ120を識別し、識別された新しいエンティティ120にプレースホルダまたはノンス(nonce)キーを発行してもよい。後の時点での登録または証明時に、ノンスキーは、識別された新しいエンティティ120と相互に関連付けられてもよい。アイデンティティサーバ130によって発行されたキーは、エンティティ120が、エンティティ120が関連付けられているストリーム内のデータ部分を保護する(例えば、暗号化またはデジタル署名する)ことを可能にする。したがって、各エンティティ120は、それぞれのデータ部分へのアクセスに対してデータフィールドレベルの制御を有することができる。場合によっては、エンティティ固有のアイデンティティデータを使用して承認ポリシーに署名し、それをデータストリームにパッケージ化してもよい。したがって、別の人が特定のエンティティ120に関連付けられたデータ部分にアクセスすることを望む場合、そのようなアクセスを特定のエンティティ120の承認ポリシーによって管理することができる。そのような承認ポリシーは、データ部分へのアクセスが許可されるさまざまな条件、たとえば、データ部分がいつアクセスできるか、そのようなデータ部分がどのようにアクセスできるかなどを管理することができる。 The identity server 130 can generate a private key (eg, a PKI-based key) that is unique to each particular identified entity 120, which identifies the entity 120 and associates the entity 120 in the stream. Allows you to manage the data parts or segments you want to do. In some cases, the identity server 130 may issue a private key to entity 120 at the time of registration. Otherwise, the identity server 130 may identify a new entity 120 that has not been registered and issue a placeholder or nonce key to the identified new entity 120. Upon registration or certification at a later point in time, the non-ski may be correlated with the new entity 120 identified. The key issued by the identity server 130 allows entity 120 to protect (eg, encrypt or digitally sign) a portion of the data in the stream with which entity 120 is associated. Thus, each entity 120 may have data field level control over access to its respective data portion. In some cases, entity-specific identity data may be used to sign the authorization policy and package it into a data stream. Thus, if another person wishes to access a portion of the data associated with a particular entity 120, such access can be managed by the authorization policy of the particular entity 120. Such an authorization policy can control various conditions under which access to a data portion is allowed, such as when the data portion is accessible, how such data portion is accessible, and so on.

エンティティ120が互いにデータを通信するとき、データは、1つまたは複数のエンティティ120に関連付けられたデータストリームに追加されてもよい。データストリームの異なるデータセグメントは、エンティティ120の異なるセットに関連付けられてもよい。したがって、各データ部分は、承認ポリシーの異なるセットに関連付けられてもよい。そのようなデータのコレクション(例えば、データストリーム)を、それぞれを一意の識別子に関連付けることができるデータセットに分解することによって、異なるデータセットをさらに異なるエンティティ120に割り当ててもよい。各エンティティ120は、それぞれのデータセットに対して特定の権利をさらに行使することができ、データセットが関連付けられているエンティティ120に基づいて、異なるポリシーおよびルールに従うこともできる。上記の例を参照すると、ビデオに画像が現れる個人は、彼または彼女が現れる部分(各画像フレームの部分を含む)を含むデータセットの所有者として識別されてもよい。そのため、個人は、そのデータセットを操作する(たとえば、それぞれの部分をブラックアウト、削除、ピクセル化する)か、アクセス許可を制限する(たとえば、パブリックビューから削除する、識別された個人またはグループに制限する)ことを選択してもよい。さらに、個人は、プライバシー権、パブリシティ権、およびその他の権利を管理するポリシーとルールを備えた特定の管轄区域に住んでいる場合がある。このようなポリシーとルールは、具体的にデータセットに適用できる。 When entities 120 communicate data with each other, the data may be added to the data stream associated with one or more entities 120. Different data segments in the data stream may be associated with different sets of entities 120. Therefore, each data portion may be associated with a different set of approval policies. Different datasets may be assigned to further different entities 120 by decomposing such collections of data (eg, data streams) into datasets, each of which can be associated with a unique identifier. Each entity 120 may further exercise certain rights to its own dataset and may follow different policies and rules based on the entity 120 to which the dataset is associated. With reference to the above example, the individual whose image appears in the video may be identified as the owner of the dataset containing the part where he or she appears (including the part of each image frame). As such, an individual manipulates the dataset (for example, blackouts, deletes, or pixels each part) or restricts permissions (for example, deletes from public view, to an identified individual or group). You may choose to limit). In addition, individuals may live in certain jurisdictions with policies and rules governing privacy, publicity, and other rights. Such policies and rules can be specifically applied to datasets.

したがって、単一のデータストリームは、ストリーム内で識別され、一意の識別子が割り当てられたさまざまなデータセットに割り当てられたさまざまな所有者に関連付けることができる。そのような識別子および所有権データは、データストリーム(例えば、ビデオ)内のそれぞれのデータセットに関連してデータベースに格納されてもよい。所有権データは、所有者の場所、および一連の承認ポリシーで指定された特定のアクセス権と制御権をさらに反映してもよい。所有者によって指定された特定のアクセスおよび制御のセッティングもまた、データセットに関連付けて保存されてもよい。所有者はさらに、それぞれのデータセットを管理する権限を与えられ、それは暗号化された形式でさらに保存されてもよい。次に、それぞれの暗号化キーを、所有者に関連付けられた基になるデータセットにアクセスすることを所有者によって承認された他の個人およびグループと共有してもよい。 Thus, a single data stream can be identified within the stream and associated with different owners assigned to different datasets with unique identifiers. Such identifier and ownership data may be stored in the database in relation to each dataset in the data stream (eg, video). Ownership data may further reflect the location of the owner and the specific access and control rights specified in the set of authorization policies. Specific access and control settings specified by the owner may also be stored in association with the dataset. The owner is also authorized to manage each dataset, which may be further stored in encrypted form. Each encryption key may then be shared with other individuals and groups authorized by the owner to access the underlying dataset associated with the owner.

いくつかの実施の形態では、データストリーム自体を全体的に扱うことができ、完全なデータストリーム内で識別された異なるデータセットに基づいて、複数の異なる暗号化キー、異なる同意パターン、異なる所有権スキームなどとの関連付けを可能にする。 In some embodiments, the data stream itself can be treated as a whole, with different encryption keys, different consent patterns, different ownership based on different datasets identified within the complete data stream. Allows association with schemes, etc.

データストリームは、1つまたは複数のアイデンティティサーバ130によって処理され、アイデンティティサーバ130は、ストリームに関連付けられた特定のエンティティを識別するために様々なライブラリを利用してもよい。たとえば、画像ライブラリを使用して、ビデオストリームでキャプチャされた特定のエンティティを識別してもよい。たとえば、一部の会員組織または他の協会は、その会員またはアソシエートに写真付き身分証明書を発行する場合がある。そのような写真を含むデジタルライブラリは、会員またはアソシエートがビデオストリームにキャプチャされたときを識別するために使用できる。逆に、アイデンティティサーバ130(またはプロキシ)はまた、ビデオでキャプチャされたエンティティが会員またはアソシエートではないことを識別してもよい。しかしながら、上記のように、そのような非会員または非アソシエートは、それにもかかわらず、ノンスキーに関連付けられてもよい。ノンスキーは、後で登録時にエンティティのアイデンティティに相互に関連付けられてもよい。したがって、アイデンティティサーバ130は、各データ部分に関連付けられた承認ポリシーを実施してもよい。そのような実施には、アクセスの許可または拒否、データストリームの変更(特定のエンティティの画像のぼかしまたはピクセル化など)、アクセスの承認と条件の確認などが含まれる。 The data stream is processed by one or more identity servers 130, which may utilize various libraries to identify a particular entity associated with the stream. For example, an image library may be used to identify a particular entity captured in a video stream. For example, some membership organizations or other associations may issue photo IDs to their members or associates. A digital library containing such photos can be used to identify when a member or associate was captured in a video stream. Conversely, Identity Server 130 (or proxy) may also identify that the entity captured in the video is not a member or associate. However, as mentioned above, such non-members or non-associates may nevertheless be associated with non-skiing. Nonskis may later be correlated with the entity's identity at registration. Therefore, the identity server 130 may implement an authorization policy associated with each data portion. Such practices include permitting or denying access, modifying the data stream (such as blurring or pixelating an image of a particular entity), approving access and verifying terms.

図2は、データストリームアイデンティティを管理するための例示的な方法を示すフローチャートである。図2の方法200は、CD、DVD、またはハードドライブなどの不揮発性メモリを含むがこれらに限定されない、非一時的なコンピュータ可読記憶媒体内の実行可能命令として具体化することができる。記憶媒体の命令は、プロセッサ(または複数のプロセッサ)によって実行され、記憶媒体をホストするか、さもなければアクセスするコンピューティングデバイスの様々なハードウェアコンポーネントに当該方法を実行させることができる。図2において特定されたステップ(およびその順序)は例示的なものであり、その実行の順序を含むがこれらに限定されない様々な代替物、同等物、またはそれらの派生物を含んでもよい。 FIG. 2 is a flow chart illustrating an exemplary method for managing data stream identities. Method 200 of FIG. 2 can be embodied as an executable instruction in a non-temporary computer-readable storage medium that includes, but is not limited to, non-volatile memory such as a CD, DVD, or hard drive. Storage medium instructions are executed by a processor (or multiple processors) and can cause various hardware components of the computing device to host or otherwise access the storage medium to perform the method. The steps (and their order) identified in FIG. 2 are exemplary and may include various alternatives, equivalents, or derivatives thereof, including, but not limited to, the order of their execution.

ステップ210において、エンティティ120は、アイデンティティサーバ130によって秘密鍵を割り当てられる。そのような割り当ては、特定のアイデンティティサーバ130への登録時、またはアイデンティティサーバ130による新しいエンティティとしての識別時に発生してもよい。そのような秘密鍵は、識別サーバ130または関連するプロキシによって格納および管理されてもよい。 In step 210, entity 120 is assigned a private key by identity server 130. Such an assignment may occur upon registration with a particular Identity Server 130 or upon identification by the Identity Server 130 as a new entity. Such private keys may be stored and managed by Identification Server 130 or an associated proxy.

ステップ220において、データストリームは、1つまたは複数のエンティティ120に関連付けられて生成されてもよい。このようなデータ生成には、デジタル通信、デジタルメディアでのキャプチャ(ビデオまたはオーディオなど)、またはその他の関連付けが含まれてもよい。上記のように、各データストリームおよびその一部は、エンティティ120の異なるセットに関連付けられてもよい。たとえば、ビデオストリームには、エンティティなし、1つのエンティティ、または複数の異なるエンティティにそれぞれ関連付けられたセグメントが含まれてもよい。 In step 220, the data stream may be generated in association with one or more entities 120. Such data generation may include digital communication, capture on digital media (such as video or audio), or other associations. As mentioned above, each data stream and parts thereof may be associated with different sets of entities 120. For example, a video stream may contain segments without entities, one entity, or each associated with a number of different entities.

ステップ230において、アイデンティティサーバ130は、データストリームの所有権を分析してもよい。そのような分析は、アイデンティティサーバ130に既知であるか未知であるかにかかわらず、データストリームに関連するすべてのエンティティの存在または関連性を識別するための様々なライブラリの使用を含んでもよい。 In step 230, the identity server 130 may analyze the ownership of the data stream. Such analysis may include the use of various libraries to identify the existence or relevance of all entities associated with the data stream, whether known or unknown to the identity server 130.

ステップ240および250において、アイデンティティサーバ130は、所有者(たとえば、データストリーム内にある各異なる認識されたエンティティ)によってデータストリームをフィルタリングし、各エンティティに関連付けられたデータセグメントを識別してもよい。ステップ260において、識別されたセグメントは、次に、所有者エンティティに関連付けられた秘密鍵に関連付けられてもよい。ステップ270において、その関連付けは、データセグメントに関連する将来の要求を処理する際に使用するために、アイデンティティサーバ130のメモリに格納されてもよい。 In steps 240 and 250, identity server 130 may filter the data stream by owner (eg, each different recognized entity within the data stream) to identify the data segment associated with each entity. In step 260, the identified segment may then be associated with the private key associated with the owner entity. At step 270, the association may be stored in the memory of the identity server 130 for use in processing future requests related to the data segment.

図3は、本発明の実施の形態を実施するために使用される例示的なコンピューティングシステム300を示す。図3のシステム300は、エンティティAデバイス120A、エンティティC120C、またはエンティティD120Dのようなものだけでなく、エンティティB120Bによって使用されるもののコンテキストで実装されてもよい。図3のコンピューティングシステム300は、1つまたは複数のプロセッサ310およびメモリ310を含む。メインメモリ310は、プロセッサ310によって実行するための命令およびデータを部分的に格納する。メインメモリ310は、動作中に実行可能コードを格納することができる。図3のシステム300は、さらに、大容量記憶装置330、携帯型記憶媒体ドライブ340、出力装置350、ユーザ入力装置360、グラフィックスディスプレイ370、および周辺装置380を含む。 FIG. 3 shows an exemplary computing system 300 used to implement embodiments of the present invention. System 300 of FIG. 3 may be implemented in the context of what is used by entity B120B as well as such as entity A device 120A, entity C120C, or entity D120D. The computing system 300 of FIG. 3 includes one or more processors 310 and memory 310. The main memory 310 partially stores instructions and data to be executed by the processor 310. The main memory 310 can store executable code during operation. The system 300 of FIG. 3 further includes a large capacity storage device 330, a portable storage medium drive 340, an output device 350, a user input device 360, a graphics display 370, and a peripheral device 380.

図3に示される構成要素は、単一のバス390を介して接続されているものとして描かれている。しかしながら、これらの構成要素は、1つまたは複数のデータ転送手段を介して接続されてもよい。例えば、プロセッサユニット310およびメインメモリ310は、ローカルマイクロプロセッサバス390を介して接続されてもよく、大容量記憶装置330、周辺機器380、携帯型記憶装置340、およびディスプレイシステム370は、1つまたは複数の入力/出力(I/O)バス390を介して接続されてもよい。 The components shown in FIG. 3 are depicted as being connected via a single bus 390. However, these components may be connected via one or more data transfer means. For example, the processor unit 310 and the main memory 310 may be connected via the local microprocessor bus 390, and the mass storage device 330, the peripheral device 380, the portable storage device 340, and the display system 370 may be one or more. It may be connected via a plurality of input / output (I / O) buses 390.

磁気ディスクドライブまたは光学ディスクドライブで実装されてもよい大容量記憶装置330は、プロセッサユニット310によって使用されるためのデータおよび命令を記憶するための不揮発性記憶装置である。大容量記憶装置330は、そのソフトウェアをメインメモリ310にロードする目的で、本発明の実施の形態を実施するためのシステムソフトウェアを記憶することができる。 The mass storage device 330, which may be implemented in a magnetic disk drive or an optical disk drive, is a non-volatile storage device for storing data and instructions for use by the processor unit 310. The large-capacity storage device 330 can store the system software for carrying out the embodiment of the present invention for the purpose of loading the software into the main memory 310.

ポータブル記憶装置340は、フロッピー(登録商標)ディスク、コンパクトディスク(CD)またはデジタルビデオディスク(DVD)などのポータブル不揮発性記憶媒体と連動して動作し、図3のコンピュータシステム300との間でデータおよびコードを入出力する。本発明の実施の形態を実施するためのシステムソフトウェアは、そのような携帯型媒体に格納され、携帯型記憶装置340を介してコンピュータシステム300に入力されてもよい。 The portable storage device 340 operates in conjunction with a portable non-volatile storage medium such as a floppy (registered trademark) disc, a compact disc (CD) or a digital video disc (DVD), and performs data with the computer system 300 of FIG. And input / output code. The system software for carrying out the embodiments of the present invention may be stored in such a portable medium and input to the computer system 300 via the portable storage device 340.

入力デバイス360は、ユーザインタフェースの一部を提供する。入力デバイス360は、英数字および他の情報を入力するためのキーボードなどの英数字キーパッド、または、マウス、トラックボール、スタイラス、またはカーソル方向キーなどのポインティングデバイスを含んでもよい。さらに、図3に示されるようなシステム300は、出力デバイス350を含む。適切な出力デバイスの例には、スピーカ、プリンタ、ネットワークインターフェイス、およびモニターが含まれる。 The input device 360 provides a part of the user interface. The input device 360 may include an alphanumeric keypad such as a keyboard for entering alphanumeric characters and other information, or a pointing device such as a mouse, trackball, stylus, or cursor arrow keys. Further, the system 300 as shown in FIG. 3 includes an output device 350. Examples of suitable output devices include speakers, printers, network interfaces, and monitors.

ディスプレイシステム370は、液晶ディスプレイ(LDC)または他の適切なディスプレイデバイスを含んでもよい。ディスプレイシステム370は、テキストおよびグラフィック情報を受信し、ディスプレイデバイスへの出力のために情報を処理する。 Display system 370 may include a liquid crystal display (LDC) or other suitable display device. The display system 370 receives text and graphic information and processes the information for output to the display device.

周辺機器380は、コンピュータシステムに追加の機能を追加するために、任意のタイプのコンピュータサポートデバイスを含んでもよい。例えば、周辺機器380は、モデムまたはルータを含んでもよい。 Peripheral device 380 may include any type of computer support device to add additional functionality to the computer system. For example, the peripheral device 380 may include a modem or router.

図3のコンピュータシステム300に含まれる構成要素は、本発明の実施の形態での使用に適するコンピュータシステムに典型的に見られるものであり、当技術分野で周知のそのようなコンピュータコンポーネントの広いカテゴリを表すことを意図している。したがって、図3のコンピュータシステム300は、パーソナルコンピュータ、ハンドヘルドコンピューティングデバイス、電話、モバイルコンピューティングデバイス、ワークステーション、サーバ、ミニコンピュータ、メインフレームコンピュータ、または任意の他のコンピューティングデバイスであってもよい。コンピュータには、さまざまなバス構成、ネットワークプラットフォーム、マルチプロセッサプラットフォームなどを含めることもできる。Unix(登録商標)、Linux(登録商標)、Windows(登録商標)、Macintosh OS、Palm OS、およびその他の適切なオペレーティングシステムを含むさまざまなオペレーティングシステムを使用することができる。 The components included in the computer system 300 of FIG. 3 are typically found in computer systems suitable for use in embodiments of the present invention and are a broad category of such computer components well known in the art. Is intended to represent. Thus, the computer system 300 of FIG. 3 may be a personal computer, a handheld computing device, a telephone, a mobile computing device, a workstation, a server, a minicomputer, a mainframe computer, or any other computing device. .. Computers can also include various bus configurations, network platforms, multiprocessor platforms, and so on. A variety of operating systems can be used, including Unix®, Linux®, Windows®, Macintosh OS, Palm OS, and other suitable operating systems.

本発明は、様々なデバイスを使用して動作可能であるアプリケーションにおいて実施されてもよい。非一時的なコンピュータ可読記憶媒体とは、実行のために中央処理装置(CPU)に命令を提供することに関与する任意の媒体を指す。このような媒体は、それぞれ光学ディスクまたは磁気ディスクおよび動的メモリなどの不揮発性および揮発性媒体を含むがこれらに限定されない多くの形態をとることができる。非一時的なコンピュータ可読媒体の一般的な形態には、例えば、フロッピー(登録商標)ディスク、フレキシブルディスク、ハードディスク、磁気テープ、その他の磁気媒体、CD−ROMディスク、デジタルビデオディスク(DVD)、他の光媒体、RAM、PROM、EPROM、FLASHEPROM、およびその他のメモリチップまたはカートリッジが含まれる。 The present invention may be implemented in applications that can operate using a variety of devices. Non-temporary computer-readable storage medium refers to any medium involved in providing instructions to a central processing unit (CPU) for execution. Such media can take many forms, including but not limited to non-volatile and volatile media such as optical or magnetic disks and dynamic memory, respectively. Common forms of non-temporary computer-readable media include, for example, floppy (registered trademark) discs, flexible discs, hard disks, magnetic tapes, other magnetic media, CD-ROM discs, digital video discs (DVDs), etc. Optical media, RAM, PROM, EPROM, FLASHEPROM, and other memory chips or cartridges.

様々な形態の伝送媒体が、実行のために1つまたは複数の命令の1つまたは複数のシーケンスをCPUに運ぶことに関与してもよい。バス(例えば、バス390)は、データをシステムRAMに運び、そこからCPUが命令を取り出して実行する。システムRAMが受信した命令は、オプションで、CPUによる実行の前または後に固定ディスクに保存することができる。同様に、さまざまな形式のストレージ、およびそれを実装するために必要なネットワークインターフェイスとネットワークトポロジを実装してもよい。 Various forms of transmission medium may be involved in carrying one or more sequences of one or more instructions to the CPU for execution. The bus (eg, bus 390) carries data to the system RAM, from which the CPU retrieves and executes instructions. Instructions received by the system RAM can optionally be stored on a fixed disk before or after execution by the CPU. Similarly, you may implement various types of storage, as well as the network interfaces and network topologies needed to implement them.

様々な実施の形態が上で説明されてきたが、それらは単なる例として提示されたものであり、限定ではないことを理解されたい。説明は、本発明の範囲を本明細書に記載の特定の形態に限定することを意図するものではない。したがって、好ましい実施の形態の幅および範囲は、上記の例示的な実施の形態のいずれによっても制限されるべきではない。上記の説明は例示的なものであり、限定的なものではないことを理解されたい。それどころか、本明細書は、添付の特許請求の範囲によって定義され、そうでなければ当業者によって理解される本発明の精神および範囲内に含まれ得るような代替、修正、および同等物を網羅することを意図している。したがって、本発明の範囲は、上記の説明を参照するのではなく、添付の特許請求の範囲およびそれらの同等物の全範囲を参照して決定されるべきである。 It should be understood that the various embodiments have been described above, but they are presented as examples only and are not limited. The description is not intended to limit the scope of the invention to the particular embodiments described herein. Therefore, the width and scope of the preferred embodiments should not be limited by any of the exemplary embodiments described above. It should be understood that the above description is exemplary and not limiting. On the contrary, the present specification covers alternatives, modifications, and equivalents as defined by the appended claims and otherwise contained within the spirit and scope of the invention as understood by those skilled in the art. Is intended to be. Therefore, the scope of the present invention should be determined not by reference to the above description, but by reference to the scope of the appended claims and their equivalents.

Claims (19)

データストリームアイデンティティを管理する方法であって、
データストリームに関する所有権情報を分析して少なくとも一人の所有者を識別するステップと、
前記データストリームをフィルタリングして前記識別された所有者に関連付けられた少なくとも一つの部分を識別するステップと、
前記識別された部分に一意の識別子を割り当てるステップと、
前記割り当てられた識別子と前記識別された所有者に関する情報とに関連付けて前記識別された部分をメモリに格納するステップと、
前記識別された所有者によって設定されたセッティングに基づいて前記識別された部分へのアクセスを制御するステップとを含む、方法。 A way to manage data stream identities
Steps to analyze ownership information about the data stream to identify at least one owner,
A step of filtering the data stream to identify at least one part associated with the identified owner.
The step of assigning a unique identifier to the identified part,
A step of storing the identified portion in memory in association with the assigned identifier and information about the identified owner.
A method comprising controlling access to the identified portion based on a setting set by the identified owner. 前記一意の識別子は秘密鍵である、請求項1の方法。 The method of claim 1, wherein the unique identifier is a private key. 前記秘密鍵は公開鍵インフラストラクチャ(PKI)に基づく、請求項2の方法。 The method of claim 2, wherein the private key is based on a public key infrastructure (PKI). 前記識別された部分へのアクセスを制御するステップは、前記識別された部分を暗号化することを含む、請求項2の方法。 The method of claim 2, wherein the step of controlling access to the identified portion comprises encrypting the identified portion. 前記一意の識別子を生成するステップをさらに含む、請求項1の方法。 The method of claim 1, further comprising the step of generating the unique identifier. エンティティ識別情報に関連付けて前記識別された所有者をメモリに登録するステップをさらに含み、前記一意の識別子は登録時に生成される、請求項5の方法。 The method of claim 5, further comprising registering the identified owner in memory in association with entity identification information, wherein the unique identifier is generated at registration. 前記識別された所有者はメモリにおいてエンティティ識別情報に関連付けられておらず、前記一意の識別子はノンス識別子である、請求項5の方法。 The method of claim 5, wherein the identified owner is not associated with entity identification information in memory and the unique identifier is a nonce identifier. 前記識別された所有者は前記データストリーム内で複数の異なる部分に関連付けられている、請求項1の方法。 The method of claim 1, wherein the identified owner is associated with a plurality of different parts of the data stream. 前記識別された所有者に関連付けられた少なくとも一つの部分はさらに少なくとも一人の他の所有者に関連付けられている、請求項1の方法。 The method of claim 1, wherein at least one portion associated with the identified owner is further associated with at least one other owner. データストリームアイデンティティを管理するシステムであって、
通信ネットワークを介してデータストリームを受信する通信インタフェースと、
メモリに格納された命令を実行するプロセッサであって、前記プロセッサによる前記命令の実行は、
データストリームに関する所有権情報を分析して少なくとも一人の所有者を識別することと、
前記データストリームをフィルタリングして前記識別された所有者に関連付けられた少なくとも一つの部分を識別することと、
前記識別された部分に一意の識別子を割り当てることとを含む、前記プロセッサと、
前記割り当てられた識別子と前記識別された所有者に関する情報とに関連付けて前記識別された部分を格納するメモリとを含み、
前記プロセッサは、前記識別された所有者によって設定されたセッティングに基づいて前記識別された部分へのアクセスを制御する、システム。 A system that manages data stream identities
A communication interface that receives a data stream over a communication network,
A processor that executes an instruction stored in memory, and the execution of the instruction by the processor is
Analyzing ownership information about a data stream to identify at least one owner,
Filtering the data stream to identify at least one part associated with the identified owner.
With the processor, including assigning a unique identifier to the identified portion.
Includes a memory that stores the identified portion in association with the assigned identifier and information about the identified owner.
A system in which the processor controls access to the identified portion based on settings set by the identified owner. 前記一意の識別子は秘密鍵である、請求項10のシステム。 The system of claim 10, wherein the unique identifier is a private key. 前記秘密鍵は公開鍵インフラストラクチャ(PKI)に基づく、請求項11のシステム。 The system according to claim 11, wherein the private key is based on a public key infrastructure (PKI). 前記プロセッサは、前記識別された部分を暗号化することにより、前記識別された部分へのアクセスを制御する、請求項11のシステム。 The system of claim 11, wherein the processor controls access to the identified portion by encrypting the identified portion. 前記プロセッサは、さらに前記一意の識別子を生成する、請求項10のシステム。 The system of claim 10, wherein the processor further generates the unique identifier. 前記プロセッサは、さらにエンティティ識別情報に関連付けて前記識別された所有者をメモリに登録し、前記一意の識別子は登録時に生成される、請求項14のシステム。 The system of claim 14, wherein the processor further registers the identified owner in memory in association with entity identification information, and the unique identifier is generated at the time of registration. 前記識別された所有者はメモリにおいてエンティティ識別情報に関連付けられておらず、前記一意の識別子はノンス識別子である、請求項14のシステム。 The system of claim 14, wherein the identified owner is not associated with entity identification information in memory and the unique identifier is a nonce identifier. 前記識別された所有者は前記データストリーム内で複数の異なる部分に関連付けられている、請求項10のシステム。 The system of claim 10, wherein the identified owner is associated with a plurality of different parts of the data stream. 前記識別された所有者に関連付けられた少なくとも一つの部分はさらに少なくとも一人の他の所有者に関連付けられている、請求項10のシステム。 The system of claim 10, wherein at least one portion associated with the identified owner is further associated with at least one other owner. データストリームアイデンティティを管理する方法を実行するためのプロセッサによって実行可能なプログラムを格納した非一時的コンピュータ可読記憶媒体であって、前記方法は、
データストリームに関する所有権情報を分析して少なくとも一人の所有者を識別するステップと、
前記データストリームをフィルタリングして前記識別された所有者に関連付けられた少なくとも一つの部分を識別するステップと、
前記識別された部分に一意の識別子を割り当てるステップと、
前記割り当てられた識別子と前記識別された所有者に関する情報とに関連付けて前記識別された部分をメモリに格納するステップと、
前記識別された所有者によって設定されたセッティングに基づいて前記識別された部分へのアクセスを制御するステップとを含む、非一時的コンピュータ可読記憶媒体。 A non-temporary computer-readable storage medium containing a program that can be executed by a processor to perform a method of managing data stream identities, said method.
Steps to analyze ownership information about the data stream to identify at least one owner,
A step of filtering the data stream to identify at least one part associated with the identified owner.
The step of assigning a unique identifier to the identified part,
A step of storing the identified portion in memory in association with the assigned identifier and information about the identified owner.
A non-temporary computer-readable storage medium comprising a step of controlling access to the identified portion based on a setting set by the identified owner.
JP2021522928A 2018-06-29 2019-07-01 Data stream identity Pending JP2021530071A (en)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US201862692371P 2018-06-29 2018-06-29
US62/692,371 2018-06-29
PCT/US2019/040202 WO2020006572A2 (en) 2018-06-29 2019-07-01 Data stream identity

Publications (1)

Publication Number Publication Date
JP2021530071A true JP2021530071A (en) 2021-11-04

Family

ID=68987611

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2021522928A Pending JP2021530071A (en) 2018-06-29 2019-07-01 Data stream identity

Country Status (5)

Country Link
US (2) US10999067B2 (en)
EP (1) EP3815299A4 (en)
JP (1) JP2021530071A (en)
CN (1) CN113039746A (en)
WO (1) WO2020006572A2 (en)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2021530071A (en) 2018-06-29 2021-11-04 クラウデンティティー インコーポレーテッド Data stream identity
CN116633542B (en) * 2023-07-20 2023-10-27 深圳奥联信息安全技术有限公司 Data encryption method and system

Family Cites Families (32)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070201694A1 (en) * 2002-06-18 2007-08-30 Bolle Rudolf M Privacy management in imaging system
GB0317571D0 (en) 2003-07-26 2003-08-27 Koninkl Philips Electronics Nv Content identification for broadcast media
GB2404486A (en) * 2003-07-31 2005-02-02 Sony Uk Ltd Access control for digital storage medium content
US8200972B2 (en) * 2005-03-16 2012-06-12 International Business Machines Corporation Encryption of security-sensitive data by re-using a connection
US20070242880A1 (en) * 2005-05-18 2007-10-18 Stebbings David W System and method for the identification of motional media of widely varying picture content
US20070150934A1 (en) 2005-12-22 2007-06-28 Nortel Networks Ltd. Dynamic Network Identity and Policy management
US8024785B2 (en) * 2006-01-16 2011-09-20 International Business Machines Corporation Method and data processing system for intercepting communication between a client and a service
US7752449B1 (en) * 2006-02-22 2010-07-06 Avaya, Inc. System and method for generating a non-repudiatable record of a data stream
US20080010458A1 (en) * 2006-07-07 2008-01-10 Michael Holtzman Control System Using Identity Objects
US20100138652A1 (en) * 2006-07-07 2010-06-03 Rotem Sela Content control method using certificate revocation lists
US20080255928A1 (en) 2007-04-10 2008-10-16 Thomas Joseph Tomeny Trusted networks of unique identified natural persons
US20090070266A1 (en) 2007-09-07 2009-03-12 Shah Rahul C System and method for physiological data authentication and bundling with delayed binding of individual identification
US20090210886A1 (en) 2008-02-19 2009-08-20 Bhojwani Sandeep M Method and system for defining financial transaction notification preferences
US8230272B2 (en) 2009-01-23 2012-07-24 Intelliscience Corporation Methods and systems for detection of anomalies in digital data streams
US10235439B2 (en) 2010-07-09 2019-03-19 State Street Corporation Systems and methods for data warehousing in private cloud environment
US8990574B1 (en) * 2010-10-06 2015-03-24 Prima Cinema, Inc. Secure device authentication protocol
EP2761540A1 (en) * 2011-09-27 2014-08-06 Telefonaktiebolaget L M Ericsson (publ) Management of data flows between networked resource nodes in a social web
AU2013200916B2 (en) * 2012-02-20 2014-09-11 Kl Data Security Pty Ltd Cryptographic Method and System
US9330277B2 (en) * 2012-06-21 2016-05-03 Google Technology Holdings LLC Privacy manager for restricting correlation of meta-content having protected information based on privacy rules
US9405988B2 (en) 2013-08-13 2016-08-02 James Alves License plate recognition
US9948682B2 (en) * 2015-08-11 2018-04-17 Vescel, Llc Data resource control through a control policy defining an authorized context for utilization of a protected data resource
US20160294781A1 (en) * 2015-01-25 2016-10-06 Jennifer Kate Ninan Partial or complete image obfuscation and recovery for privacy protection
US10284558B2 (en) 2015-08-12 2019-05-07 Google Llc Systems and methods for managing privacy settings of shared content
US10346635B2 (en) 2016-05-31 2019-07-09 Genesys Telecommunications Laboratories, Inc. System and method for data management and task routing based on data tagging
US20180121663A1 (en) * 2016-11-01 2018-05-03 Microsoft Technology Licensing, Llc Sharing Protection for a Screen Sharing Experience
US10979437B2 (en) * 2016-11-14 2021-04-13 Intrinsic Value, Llc Systems, devices, and methods for access control and identification of user devices
US20180182052A1 (en) * 2016-12-20 2018-06-28 Microshare, Inc. Policy Fabric And Sharing System For Enabling Multi-Party Data Processing In An IoT Environment
US11010614B2 (en) * 2017-01-26 2021-05-18 Matias Klein Total property intelligence system
GB2560177A (en) 2017-03-01 2018-09-05 Thirdeye Labs Ltd Training a computational neural network
US10484352B2 (en) * 2017-03-31 2019-11-19 Microsoft Technology Licensing, Llc Data operations using a proxy encryption key
JP2021530072A (en) 2018-06-29 2021-11-04 クラウデンティティー インコーポレーテッド Filtering authentication
JP2021530071A (en) 2018-06-29 2021-11-04 クラウデンティティー インコーポレーテッド Data stream identity

Also Published As

Publication number Publication date
US20210211280A1 (en) 2021-07-08
US11646875B2 (en) 2023-05-09
US10999067B2 (en) 2021-05-04
EP3815299A4 (en) 2022-03-23
WO2020006572A2 (en) 2020-01-02
EP3815299A2 (en) 2021-05-05
CN113039746A (en) 2021-06-25
WO2020006572A3 (en) 2020-01-30
WO2020006572A4 (en) 2020-03-05
US20200014532A1 (en) 2020-01-09

Similar Documents

Publication Publication Date Title
US20230259649A1 (en) Systems Using Secure Permissions for Secure Enterprise-Wide Fine-Grained Role-Based Access Control of Organizational Assets
EP3488584B1 (en) Usage tracking in hybrid cloud computing systems
US9800454B2 (en) Functionality management via application modification
US9223807B2 (en) Role-oriented database record field security model
US11290446B2 (en) Access to data stored in a cloud
JP7725139B2 (en) Method, computer program, and security system agent device for monitoring and controlling data access
US20110167479A1 (en) Enforcement of policies on context-based authorization
US10148637B2 (en) Secure authentication to provide mobile access to shared network resources
US10366240B1 (en) Authorization to access a server in the cloud without obtaining an initial secret
US11023606B2 (en) Systems and methods for dynamically applying information rights management policies to documents
US12154667B2 (en) Secure environment device management
US20150281281A1 (en) Identification of unauthorized application data in a corporate network
WO2013011730A1 (en) Device and method for processing document
CN115398859A (en) System and method for protecting data across multiple users and devices
US9026456B2 (en) Business-responsibility-centric identity management
US11646875B2 (en) Data stream identity
US20200013060A1 (en) Filtering authorizations
US11647020B2 (en) Satellite service for machine authentication in hybrid environments
RU2587422C2 (en) Method and system for automatic license management
WO2007090866A1 (en) Collaborative access control in a computer network
CN113840013B (en) Document system for hierarchical management
EP2790123A1 (en) Generating A Data Audit Trail For Cross Perimeter Data Transfer
US12547755B2 (en) Techniques for securely executing attested code in a collaborative environment
JP7656384B1 (en) Cloud system for protecting specific information
CN104054088B (en) Manage Access Across Perimeters

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20210302